zurück zum Artikel

Eine neue Version des Web-Browsers Firefox soll neben einigen Verbesserungen bei der Stabilität auch einige Sicherheitsprobleme beseitigen.

Die Mozilla-Foundation [1] hat eine neue Version des Webbrowsers Firefox [2] herausgegeben, die Verbesserungen [3] bei der Stabilität bringt, aber auch einige Sicherheitsprobleme [4] beseitigt. Dazu gehören etwa die Möglichkeit, die eigentliche Quelle eines Downloads zu verschleiern, oder der Bug, durch den sich mittels Drag&Drop eines Images eine ausführbare Datei auf dem lokalen Rechner des Anwenders platzieren lässt.

Auch umgeht die Version 1.0.1 nun wie angekündigt [5] den kürzlich bekannt gewordenen Phishing-Trick [6] bei Internationalized Domain Names (IDN [7]). Bei dem Trick wurden Domainnamen mit länderspezifischen Sonderzeichen registriert. Einige dieser Sonderzeichen sehen jedoch den Buchstaben aus dem lateinischen Alphabet sehr ähnlich. Dies wurde bei der Demonstration [8] der Sicherheitslücke mit der Domain paypal.com gezeigt, indem als erste a ein kyrillischer Buchstabe benutzt wurde. Zwischenzeitlich hatte das Firefox-Team daher erwogen, die Unterstützung von IDN vorrübergehend zu deaktivieren [9]. Nun wird das Problem jedoch umgangen, indem Firefox in der Adressleiste den bei der DNS-Auflösung verwendeten Punycode [10] anzeigt -- der Domainname paypal.com mit kyrillischem a wird dann beispielsweise als "www.xn--pypal-4ve.com" dargestellt.

Die Mozilla-Entwickler hatten vorher mehrfach betont, dass das Problem mit den Phishing-Attacken über manipulierte IDNs eigentlich kein Fehler der Browser ist, sondern ein Problem in der IDN-Implementation. Die Schwäche sei seit langem bekannt und es gebe Richtlinien, wie Provider, Registries und Registrare dieses Problem umgehen könnten. Dass ähnlich aussehende Zeichen in Domain-Namen einmal Sicherheitsprobleme aufwerfen würden, findet schon im Punycode-RFC 3492 [11] Erwähnung. Mitte 2002 wiesen zudem zwei israelische Studenten ebenfalls auf dieses Problem hin [12].

Mit Firefox in der Version 1.0 konnte die Mozilla-Foundation einige Erfolge feiern und gegen Microsofts Internet Explorer Marktanteile gewinnen. Vor kurzem freuten sich die Mozilla-Entwickler bereits über 25 Millionen Downloads [13] ihrers Standalone-Webbrowsers. Microsoft sah sich mittlerweile sogar gezwungen, entgegen den ursprünglichen Plänen eine neue selbstständige Version [14] des Internet Explorer anzukündigen, die für mehr Sicherheit sorgen soll -- ursprünglich sollte ein neuer Microsoft-Webbrowser mit der nächsten Windows-Version Longhorn verzahnt werden.

Das deutsche Version 1.0.1 ist derzeit noch nicht überall verlinkt; sie steht unter anderem auf dem Mozilla-FTP-Server zum Download [15] bereit. (thl [16])

URL dieses Artikels:
https://www.heise.de/-138191

Links in diesem Artikel:
[1] http://www.mozilla.org/
[2] http://www.mozilla.org/products/firefox/
[3] http://www.mozilla.org/products/firefox/releases/
[4] http://www.mozilla.org/projects/security/known-vulnerabilities.html
[5] https://www.heise.de/news/Umlaut-Domains-in-Mozilla-Firefox-Anzeigen-statt-abschalten-136871.html
[6] https://www.heise.de/news/Umlaute-in-Domain-Namen-ermoeglichen-neuen-Phishing-Trick-Update-132814.html
[7] https://www.heise.de/news/ICANN-Meeting-Ochsentour-internationalisierte-Domains-100955.html
[8] http://www.shmoo.com/idn/
[9] https://www.heise.de/news/Mozilla-und-Firefox-schalten-Unterstuetzung-fuer-internationalisierte-Domains-aus-134898.html
[10] ftp://ftp.rfc-editor.org/in-notes/rfc3492.txt
[11] ftp://ftp.rfc-editor.org/in-notes/rfc3492.txt
[12] https://www.heise.de/news/Domain-Hijacking-auf-kyrillisch-62052.html
[13] https://www.heise.de/news/Mozilla-Foundation-feiert-naechsten-Firefox-Meilenstein-135720.html
[14] https://www.heise.de/news/Bill-Gates-Internet-Explorer-7-soll-mehr-Sicherheit-bringen-135322.html
[15] http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/1.0.1/
[16] mailto:thl@ct.de

Copyright © 2005 Heise Medien